2285457

Microsoft stopft Lücken in IE, Edge, Office, Windows und HoloLens

12.07.2017 | 08:44 Uhr |

Der Update-Dienstag im Juli bringt Sicherheits-Updates, die 54 Schwachstellen beseitigen. Davon sind 19 Lücken als kritisch eingestuft. Sie betreffen etwa den Windows Explorer, Edge, die HoloLens-Brille sowie die Windows-Suche.

Beim jüngsten Patch Day hat Microsoft deutlich weniger Lücken gestopft als im Vormonat. Waren es im Juni um die 100 Schwachstellen, sind es in diesem Monat lediglich 54 Sicherheitslücken. Als kritisch eingestufte Lücken betreffen Windows, den Internet Explorer sowie Edge. Weitere Sicherheits-Updates gibt es für Office, Exchange-Server und das .NET-Framework. Außerdem reicht Microsoft ein Update für den integrierten Flash Player weiter. Detail-Informationen zu den gestopften Lücken muss man sich im recht unübersichtlichen Security Update Guide erarbeiten.

Internet Explorer
Im Internet Explorer (IE) 9 bis 11 hat Microsoft sieben Lücken geschlossen, von denen fünf als kritisch eingestuft sind. Sie können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen. Ein paar Lücken betreffen den Javascript-Interpreter der Microsoft-Browser, also auch den in Edge.

Edge
Der noch recht junge Browser Edge erweist sich als wahre Fundgrube für Sicherheitslücken und somit als würdiger Nachfolger des IE. In diesem Monat hat Microsoft 18 Schwachstellen beseitigt, von denen sich Edge fünf mit dem IE teilt. Insgesamt 14 Edge-Lücken hat Microsoft als kritisch eingestuft.

Office
Microsofts Office-Produktfamilie kommt diesmal recht glimpflich davon. Immerhin können vier der fünf Office-Lücken einem Angreifer die Möglichkeit bieten, Code einzuschleusen und auszuführen. Dazu wird er beispielsweise ein speziell präpariertes Office-Dokument, etwa eine Word-Datei, als Mail-Anhang verbreiten. Öffnet ein Mail-Adressat diese Datei mit einem anfälligen Office-Programm, wird Code eingeschleust und ausgeführt. Weil dieser Angriffsvektor die aktive Mitwirkung des Opfers erfordert, stuft Microsoft solche Office-Lücken nicht als kritisch ein.

Windows
Rund zwei Dutzend Sicherheitslücken jedweder Art verteilen sich auf die verschiedenen Windows-Versionen. Als kritisch gilt eine weitere Lücke im Windows Suchdienst (CVE-2017-8589), nachdem Microsoft bereits im Juni eine solche Schwachstelle schließen musste. Die neue Lücke kann sich in einem Netzwerk auch über SMB (Server Message Block) ausgenutzt werden, ist jedoch keine SMB-Schwachstelle.

Ebenfalls als kritisch eingestuft ist eine Sicherheitslücke in Microsofts Mixed-Reality-Brille HoloLens (CVE-2017-8584). Sie kann einfach mit einem WLAN-Paket ausgenutzt werden, das der Angreifer passend gestaltet hat. Damit kann er die Kontrolle über das teure Gerät erlangen. Die Schwachstelle betrifft Windows 10 sowie Server 2016 und war bereits vor dem Patch Day öffentlich bekannt.

Mehr Praxisrelevanz als die HoloLens-Lücke dürfte eine etwas skurril anmutende Schwachstelle (CVE-2017-8463) im Explorer aller Windows-Versionen haben. Um Malware einschleusen zu können, muss ein Angreifer einen Ordner und eine Programmdatei (die Malware) freigeben und einen Benutzer überzeugen, dass die Malware-Datei der Ordner ist. Versucht der Benutzer den vermeintlichen Ordner zu öffnen, startet er das Trojanische Pferd. Solche Attacken könnten durchaus bald in Ransomware-Kampagnen genutzt werden.

Damit schließt Microsoft als letzter betroffener Hersteller die Aufarbeitung des Hacker-Wettbewerbs Pwn2Own im März dieses Jahres ab. Alle im Wettbewerb ausgenutzten Schwachstellen gelten nun laut Veranstalter ZDI/Trend Micro als beseitigt – und das binnen 120 Tagen.

.NET und Exchange-Server
Im .NET-Framework hat Microsoft eine DoS-Lücke geschlossen. Im Exchange-Server sind es immerhin drei Schwachstellen, die der Hersteller beseitigt hat. Zwei Cross-Site-Scripting-Lücken betreffen Exchange 2013 und 3016. Die dritte Schwachstelle betrifft zusätzlich Exchange 2010 und kann es einem Angreifer ermöglichen, einen Exchange-Nutzer auf eine betrügerische Web-Seite zu locken.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt drei Sicherheitslücken, von denen eine als kritisch eingestuft ist. Der neue Flash Player trägt die Versionsnummer 26.0.0.137.

Und schließlich gibt es, wie in jedem Monat, auch im Juli das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.


0 Kommentare zu diesem Artikel
2285457